Towards Label-Only Membership Inference Attack against Pre-trained Large Language Models

最新推荐文章于 2025-11-24 18:29:32 发布
最新推荐文章于 2025-11-24 18:29:32 发布
阅读量169 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: LLM Daily LLM Security and Privacy 文章标签: 语言模型 人工智能 自然语言处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_cpp_csharp/article/details/146392301

主要内容

  1. 研究背景:大语言模型(LLMs)应用广泛,但存在隐私风险,成员推理攻击(MIAs)可判断样本是否在训练集中。现有MIAs多基于输出logits,实际中难以获取,标签仅设置(label-only setting)更具挑战性但也更贴合实际。
  2. 标签仅设置下的MIAs研究:回顾现有标签仅设置下的MIAs,发现基于样本鲁棒性差异的攻击在预训练LLMs上效果不佳,原因是预训练LLMs泛化性好,成员与非成员到决策边界距离差异小,且token级扰动太粗糙难以捕捉这种差异。
  3. PETAL攻击方法:提出PETAL(基于每个token语义相似性的标签仅成员推理攻击)。通过聚焦首个生成token,利用其与特定token的语义相似性近似输出概率,计算近似困惑度来推断成员身份。具体步骤包括在代理模型上获取语义相似性 - 概率对并进行线性回归,在目标模型上查询语义相似性,进而计算近似困惑度并通过阈值判断成员身份。
  4. 实验评估:在WikiMIA和MIMIR基准数据集上,对5种开源LLMs进行实验,对比6种先进攻击方法。结果表明PETAL显著优于现有标签仅攻击,与基于logits的攻击效果相当,在低FPR下的TPR有突破,且在不同参数设置、解码策略、微调LLMs及闭源LLMs(Gemini-1.5-Flash和GPT-3.5-Turbo-Instruct)上都表现出有效性和鲁棒性。
  5. 对抗防御策略分析:研究文本释义、训练数据去重、MemGuard和差分隐私等防御策略对PETAL的影响。发现
了解本专栏 订阅专栏 解锁全文 超级会员免费看
[论文阅读]Label-Only Membership Inference Attacks
m0_52911108的博客
11-01 1688
只使用硬标签就可以判断是否是成员的方法,但是是在机器学习模型上。引入了仅限标签的 MI 攻击。我们的攻击更普遍:对手只需要获得训练模型的(硬)标签,而没有预测置信度。这种威胁模型更现实,因为部署在面向用户的产品中的 ML 模型不需要公开原始置信度分数。因此,我们的攻击可以安装在任何 ML 分类器上。在仅标注设置中,朴素基线将错误分类的点预测为非成员。我们的重点是超越这一基线。为此,我们将不得不对目标模型进行多次查询。我们展示了如何。
Label-Only Membership Inference Attacks》论文阅读笔记
weixin_48769881的博客
01-30 2426
第一次看成员推理攻击方面的论文,以下是第一遍的记录(希望我能再有时间看第二遍吧 本篇内容只是作为学习过程的一个记录,应该会有很多错漏的地方 第一次发csdn,好多功能没认真弄懂 见谅 请各位大佬指教(也许也没什么人看 哈哈 百度学术论文地址 论文笔记内容(根据页数来记录) p1 Abstract 基于标签的成员推理攻击不依赖于分数的置信度(预测置信度的差异很大程度上归因于过拟合,如果降低过拟合程度,置信度的差异就不明显,也就不能准确推断出成员在训练数据集上的身份),而是通过分析在扰动下的模型的预测标签的鲁棒
论文解析:Membership Inference Attacks Against Machine Learning Models(一看即懂)
ZXISABOY的博客
10-27 7108
论文解析:Membership Inference Attacks Against Machine Learning Models(一看即懂,超详细版本) Membership Inference Attacks Against Machine Learning Models 摘要:这篇文章致力于探索机器学习模型如何泄露训练集中的信息,专注于基本的成员推理攻击,即给出一个机器学习模型和一条记录,判断该样本是否被用作训练集中的一部分。 我们对“机器学习即服务(machine learning as a ser
【LLM安全】Privacy in Large Language Models- Attacks, Defenses and Future Directions(综述)
xnxqwzy的博客
03-21 1632
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。隐私攻击的基本理念是,借助更强大的可访问性,攻击者有望恢复更多的敏感信息或获得对受害者LLMs更多的控制权。然而,保护LLMs隐私的一个主要挑战在于非线性操作所带来的限制,例如Softmax,GeLU,LayerNorm等,这些操作与SMPC不兼容。尽管如此,基于领域的LLMs应用的隐私和安全问题仍是一个未被探索的领域。
2020年 ICLR 国际会议最终接受论文(poster-paper)列表(二)
yinizhilianlove的博客
02-21 1万+
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2020-02-21     2020年的ICLR会议将于今年的4月26日-4月30日在Millennium Hall, Addis Ababa ETHIOPIA(埃塞俄比亚首都亚的斯亚贝巴 千禧大厅)举行。     2020年ICLR会议(Eighth International Con...
【LLM安全】Privacy in Large Language Models: Attacks, Defenses and Future Directions(综述)
qq_43543209的博客
02-27 4249
SMPC协议优化( SMPC Protocol Optimization,SPO )是指利用先进的SMPC协议,在保持原有模型结构的同时,提升LLMs隐私保护推理的效率。隐私攻击的基本理念是,借助更强大的可访问性,攻击者有望恢复更多的敏感信息或获得对受害者LLMs更多的控制权。例如,在仅有黑盒模型访问的情况下,敌手可能会进行训练数据提取攻击,以恢复少量的训练数据。然而,保护LLMs隐私的一个主要挑战在于非线性操作所带来的限制,例如Softmax,GeLU,LayerNorm等,这些操作与SMPC不兼容。
CVPR2022论文列表(中英对照)
dovings的博客
07-04 2万+
CVPR论文列表,中英对照
Python数据分析与机器学习27-拼写纠正实例
热门推荐
只是甲的博客
07-25 14万+
python 数据分析 人工智能 贝叶斯 拼写纠错
【CVPR2022】论文列表与下载——PartFour
TomRen
06-12 3425
【CVPR2022】完整论文列表
InstructBLIP: Towards General-purpose Vision-Language Models with Instruction Tuning
s_m_c的博客
08-05 1180
进一步,冻结image encoder和LLM的参数,将Instruction文本分别加入到Q-Former输入端和LLM的输入端,训练Q-Former参数,具体的交互形式见上面的流程解读。这样的好处在于对于同一张图片,根据不同的instruction,我们可以得到基于instruction偏好更强的视觉特征,同时对应于两个不一样的图片,基于instruction内嵌的通用知识,可以使得模型有更好的知识迁移效果。另外,ALBEF可以看成是BLIP的前传,同样和三者的联系很深。作者主要提出了两点贡献。
论文阅读:A Survey on RAG Meeting LLMs: Towards Retrieval-AugmentedLarge Language Models
m0_53605808的博客
07-13 1097
作为人工智能领域最先进的技术之一,检索增强生成(RAG)能够提供可靠且最新的外部知识,为众多任务带来极大便利。尤其在人工智能生成内容(AIGC)时代,检索技术在提供额外知识方面的强大能力,使 RAG 能够辅助现有的生成式 AI 产出高质量结果。近年来,大型语言模型(LLMs)在语言理解与生成方面展现出革命性能力,但仍存在固有局限性,如幻觉现象和内部知识过时等问题。
【论文阅读】Black-Box Dissector: Towards Erasing-based Hard-Label Model Stealing Attack(2021)
Glass_Gun的博客
08-19 1026
Previous studies have verified that(先前的研究已经证实) the functionality of black-box models(黑盒模型的功能) can be stolen with full probability outputs(全概率输出). However, under the more practical hard-label setting(在更实际的硬标签设置下), we observe that existing methods(现有的方法) suf
【ACL 2024】Video-ChatGPT: Towards Detailed Video Understanding via Large Vision and Language Models
zik的博客
07-30 2356
Authors【Paper】【Project】由大型语言模型 (LLM) 推动的对话代理正在提供一种与视觉数据交互的新方式。虽然已经对基于图像的对话模型进行了初步尝试,但这项工作通过引入 Video-ChatGPT 解决了 \emph{基于视频的对话} 尚未开发的领域。它是一种多模态模型,将视频自适应视觉编码器与大语言模型相结合。生成的模型能够理解并生成有关视频的详细对话。数据集,定量评估框架。
基于学习的人工智能(1)为什么学习?
致力于大数据+AI 的应用创新。
11-24 213
学习是人类最重要的认知活动之一,贯穿我们的一生。出生后,我们无时无刻不在学习:从父母那里学说话,自己尝试走路,从小伙伴那里学会折纸飞机,从老师那里学到语文、数学等各种知识。研究人员始终将光源和风扇放在同一侧,经由学习,玉米幼苗逐渐学会了“有风的地方就会有光”的规律。之后,研究人员移去光源,并改变风扇方向,玉米幼苗依然按照所学知识,向风扇方向生长。1959 年,美国计算机学家亚瑟·塞缪尔设计了一款可以自我学习的跳棋程序,并将这一新方法称为“机器学习”,从而开启了机器自我学习的道路。
中国计算机学会(CCF)推荐学术会议-A(人工智能):ACL 2026
iaast的博客
11-24 337
大会官网:https://2026.aclweb.org/录用率:20.3%(1699/8360,2025年)时间地点:2026年7月2日-加州·美国。截稿时间:2026年1月5日。CCF推荐:A(人工智能
2025企业微信AI落地新趋势:微盛AI·企微管家破解内外增长难题
最新发布
weisheng00的博客
11-24 566
2025年企业微信AI落地的三大关键趋势:微盛AI·企微管家通过智能客服、精准营销和内部协作三大场景,帮助企业实现200%的客服效率提升、90%的报修响应提速和50%的员工效能增长。作为企业微信生态最大ISV服务商,微盛依托"AI+SCRM"双引擎,已服务160家500强企业,提供合规AI聊天Agent、生态闭环整合及私有化部署方案,有效解决数据孤岛问题,90%客户在3个月内实现AI能力全员覆盖。
RAG 的诞生:为了让 AI 不再“乱编”
weixin_44876263的博客
11-24 218
RAG全称,中文为“检索增强生成”。其核心思想是:在生成答案时,不仅依赖大模型内部的训练知识,还能够实时访问外部知识库或文档,从而生成更加准确和可靠的内容。就像一个学生回答问题,不仅依靠自己记忆,还会去图书馆查资料,然后结合记忆和查到的资料回答问题。你问模型:“请告诉我最新的新能源补贴政策。纯模型可能只靠训练记忆,回答的是过时或模糊的信息。RAG 模型会先去查最新政策文件,再结合训练知识生成答案,因此更准确。检索资料:先找到相关文档或信息。结合生成:把找到的资料和问题一起输入模型,让模型生成答案。
基于华为开发者空间实现花卉识别
优快云高校俱乐部官方博客
11-21 1795
基于华为开发者空间实现花卉识别
人工智能在医疗行业的革命性应用:从诊断到个性化治疗
2501_94114442的博客
11-21 486
人工智能(AI)技术近年来已经渗透到各个行业,其中,医疗行业无疑是受益最大之一。从疾病的早期诊断到个性化治疗方案的制定,AI正在加速医学领域的变革。通过机器学习、深度学习、自然语言处理等技术,AI不仅能够处理和分析大量的医疗数据,还能够帮助医生做出更加精准的决策,提升患者的治疗效果,并优化整个医疗体系的运作效率。本文将探讨人工智能在医疗行业的应用,分析其在不同医疗领域的具体作用,并展望AI如何进一步推动医疗健康行业的发展。
InstructBLIP: Towards General-purpose Vision-Language Models with Instruction Tuning复现
02-26
### 如何复现 InstructBLIP 通用视觉-语言模型及其指令微调方法 #### 准备工作环境 为了成功复现 InstructBLIP 模型,首先需要准备适当的工作环境。这通常涉及安装必要的软件包和依赖项。建议使用 Python 和 PyTorch 来构建此项目。 ```bash conda create -n instructblip python=3.8 conda activate instructblip pip install torch torchvision torchaudio --extra-index-url https://download.pytorch.org/whl/cu113 ``` #### 获取数据集 InstructBLIP 的训练依赖于大规模的数据集来学习丰富的特征表示。这些数据集应包含配对的图像和文本描述。常用的数据集包括 COCO Captions, Visual Genome 等[^2]。 #### 下载预训练模型权重 由于从头开始训练这样的大型模型非常耗时且计算资源密集,因此推荐下载官方发布的预训练模型权重作为起点。可以从 GitHub 或其他公开平台获取最新的预训练版本。 #### 实施指令微调流程 按照论文中的指导,在已有的基础之上实施特定任务导向的指令微调过程。具体来说: - **定义目标任务**:明确希望模型执行的任务类型,比如生成图片说明、问答等。 - **调整输入格式**:确保输入遵循预期结构,即每条记录由一对或多张图像以及相应的自然语言命令组成。 - **修改损失函数**:根据所选任务定制化设计适合的优化目标。 ```python from transformers import BlipForConditionalGeneration, BlipProcessor processor = BlipProcessor.from_pretrained("Salesforce/blip-image-captioning-base") model = BlipForConditionalGeneration.from_pretrained("Salesforce/blip-image-captioning-base") def fine_tune_model(training_data): optimizer = AdamW(model.parameters(), lr=5e-5) for epoch in range(num_epochs): model.train() for batch in training_data: inputs = processor(images=batch['image'], text=batch['instruction'], return_tensors="pt", padding=True) outputs = model(**inputs) loss = outputs.loss optimizer.zero_grad() loss.backward() optimizer.step() fine_tune_model(prepared_dataset) ``` 通过上述步骤可以有效地实现 InstructBLIP 模型的本地部署与进一步开发应用。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UnknownBody

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值